駭客找到新漏洞，SSL也不安全 - 專家專欄

	首頁 \| 關於知識網 \| 會員規範 \| 知識地圖｜本站連結 \| JACKSOFT \| 加入會員 \|

1.	給有意從事內部稽核的同學建議

2.	稽核與道德 ( Auditing and Ethics )

3.	內部控制的監控與稽核(Internal Control Monitoring and Auditing)

4.	電子商務對會計師執行審計方式之影響

5.	利用電腦輔助稽核技術提高稽核成效

6.	持續性稽核實務應用與未來發展趨勢

1.	淺談如何選擇與應用電腦輔助稽核軟體

2.	投資人確保與外部稽核（Investor Assurance and External Auditing）

3.	內部控制的監控與稽核(Internal Control Monitoring and Auditing)

4.	稽核與電腦稽核(Audit and Computer Auditing)

5.	推動組織採用CAATs的實務作法

6.	社會責任與電腦稽核 (Accountability and Computer Accounting)

Dr. Hart Will

加拿大維多利亞大學 Professor Emeritus

看更多Dr. Hart Will文章

黃秀鳳總經理

傑克商業自動化股份有限公司總經理、台灣研發管理經理人協會理事、 ICAEA國際電腦稽核教育協會台灣分會會長、各大學電腦審計、金融審計或AI稽核兼任講師

朝陽科技大學會計系教授

傑克商業自動化(股)公司技術研發部經理

弓塲啟司 ICAEA國際電腦稽核教育協會日本分會長

社長，三恵ビジネスコンサルティング株式会社、日本會計師、國際電腦稽核軟體應用師、日本會計師公會，電腦稽核專業委員會委員

看更多弓塲啟司 ICAEA國際電腦稽核教育協會日本分會長文章

蕭幸金教授

國立臺北商業大學會計資訊系教授暨財經學院院長

看更多蕭幸金教授文章

孫嘉明教授

國立雲林科技大學副教授兼管理學院副院長、產業經營專業博士學位學程主任

慈濟技術學院會計資訊系助理教授

國立高雄第一科技大學會計資訊系副教授兼系主任

傑克商業自動化(股)公司技術研發部工程師

國立中正大學會計與資訊科技學系教授

國立中正大學會計與資訊科技學系教授及製商整合研究中心主任

弓塲啟司 ICAEA國際電腦稽核教育協會日本分會長最新文章

駭客找到新漏洞，SSL也不安全

(2009-08-18 13:28:01 吳善全助理教授)

網友推薦：68人推薦(有68人投票)

觀看次數：1472

SSL (Secure Socket Layer) 是業界採用的加密通訊協定標準，目前已廣泛被運用在電子商務上。使用SSL可以安全地透過網路傳輸使用者的個人私密資料包括銀行帳號、信用卡號等。當使用者透過瀏覽器操作網路銀行、網路下單、網路購物等動作時，將發現網址列出現的網址開頭是https://而不是http://，此時即表示目前的網路通訊是透過SSL安全的進行中。然而，SSL真的能保證安全嗎？

2009/7/30在美國拉斯維加斯舉行的年度Black Hat Conference上，三名研究人員展示了SSL的弱點並得出結論: 網路瀏覽器與SSL安全證書的合作存在著嚴重的漏洞。

美國國土安全部顧問傑夫•莫斯說，駭客必須先進入受侵者的電腦網路才能實施這種新式的駭客攻擊，這種攻擊方式減緩了攻擊的有效性。但他同時也警告，一旦攻擊成功，後果不堪設想。“這種攻擊是致命性的，你可以獲取電腦中所有資訊，這對整個企業界而言，實在是一個巨大的警鐘”。

事實上這種攻擊手法的原理，屬於一種稱為中間人(Man In the Middle )的攻擊法。中間人攻擊指駭客將自己的惡意程式植入受侵者電腦和合法網站之間，通過該電腦與網站的聯繫以竊取信用卡號、密碼等關鍵資料。更可怕的是，駭客可以控制受侵者電腦的自動更新系統，令電腦自動安裝來自駭客網站的惡意程式碼，使得作業系統誤認為這是系統廠商所提供的更新軟體而進行自動更新。

在正常的情況下，以SSL進行連線時，瀏覽器會驗證目的網站的SSL安全證書，如果沒有通過驗證，瀏覽器會阻止打開目的網站。然而，駭客行為可以欺騙瀏覽器，使瀏覽器誤認為進入了安全站點，這使得安全證書失去意義。

從這個新式的駭客入侵手法，讓我們必須正視使用者資安教育的重要性，因為駭客成功入侵的關鍵，就是先行在使用者電腦植入木馬之類的惡意程式。縱使端點之間的通訊再怎麼安全保密，一旦使用者端的電腦遭受植入惡意程式，再怎麼安全的連線都將失去意義。

「本文章之圖文版權為吳善全助理教授本人所有，非經同意不得轉載。」

網友評價：68人推薦0人不推(共有68人投票)

你對這一則文章的評價:

回應數:0

共 0 筆資料. / . 第頁/共頁

請按此登入發表您的回應(Please login to reply)

吳善全助理教授其他最新文章

UPnP的安全漏洞

(2009-11-30)
Web Services安全

(2009-11-23)
NAT – Network Address Transfer

(2009-11-16)
VPN - Virtual Private Network

(2009-11-12)
IPSec簡介

(2009-11-11)
營運持續管理-BS 25999

(2009-08-18)
資訊安全管理系統標準-ISO/IEC 27001

(2009-08-18)
新的網際網路

(2009-08-12)
XML資料庫簡介

(2009-08-06)

共 9 筆資料. / . 第 1 頁/共 1 頁

網站建議與問題回報 | 隱私權政策 | 網站管理規範 | 本網站最佳螢幕解析度1024*768 瀏覽器適用於IE 6.0以上